북한

이더리움 재단은 최근 ETH Rangers 보안 프로젝트 요약 보고서를 발표하며, 6개월 간의 보안 지원 프로그램에서 연구자들이 약 100명의 국가 지원 의심 네트워크 행위자를 식별했다고 밝혔습니다. 이들 중에는 북한의 침투자가 포함되어 있으며, 여러 Web3 프로젝트에서 활동하고 있습니다.보고서에 따르면, 관련 조사는 "Ketman Project"와 같은 프로젝트를 통해 진행되었으며, 연구자들은 약 53개의 블록체인 프로젝트에 경고를 발송하여 이들이 가짜 신분으로 개발 팀에 침투하고 자금 흐름 및 기술 직무에 참여하고 있음을 밝혔습니다. 동시에 일부 관련 자금은 동결되었으며, 규모는 수십만 달러에 달합니다. 보안 팀은 또한 관련 정보를 Lazarus Group의 위협 분석 시스템에 포함시키고 DEF CON과 같은 보안 회의에서 이를 공개하여 국가급 사이버 공격이 암호화 산업 인프라에 지속적으로 침투하고 있음을 보여주었습니다.전체 성과 측면에서, 이 계획은 누적하여 580만 달러 이상의 자금을 동결하거나 회수하였으며, 보고서 또는 기록된 취약점은 785개를 초과하고, 36건의 보안 사건을 처리하였습니다. 이는 현재 이더리움 생태계가 단순한 취약점 공격에서 국가급 행위자가 포함된 시스템적 위험으로 업그레이드된 보안 위협에 직면하고 있음을 보여줍니다. 또한 보고서는 북한 관련 해커들이 "원격 IT 작업자"와 같은 방식으로 프로젝트에 침투하고 있으며, 계정 탈취, 프리랜서 플랫폼 침투 및 자금 이체 등 다양한 공격 경로가 포함되어 있어 산업의 주요 방어 대상이 되고 있다고 지적했습니다.이더리움 재단은 분산형 네트워크의 보안이 "분산형 방어"를 필요로 한다고 강조하며, 앞으로도 지속적으로 보안 연구, 위협 정보 및 인재 양성을 지원하여 끊임없이 증가하는 국가급 사이버 위협에 대응할 것이라고 밝혔습니다.

코인텔레그래프에 따르면, 이더리움 재단은 자금을 지원하는 케트만 프로젝트가 6개월 내에 Web3 조직에 잠입한 북한 IT 인력 100명을 식별하고 약 53개 프로젝트에 경고를 발송했다고 밝혔습니다. 이는 관련 인력을 고용했을 가능성이 있음을 알리는 것입니다.이 프로젝트는 암호화 산업 내 "가짜 개발자" 문제에 초점을 맞추고 있으며, ETH Rangers 공공 안전 자금 지원 프로그램의 일환입니다. 케트만은 또한 의심스러운 GitHub 활동을 식별하기 위한 오픈 소스 탐지 도구를 개발하고, Security Alliance와 협력하여 북한 IT 인력을 식별하기 위한 산업 식별 프레임워크를 수립했습니다.

암호 지갑 Zerion이 공개한 바에 따르면, 북한 해커들이 AI를 사용하여 장기적인 사회 공학 공격을 수행하고 회사의 핫 월렛에서 약 10만 달러를 도난당했습니다.Zerion은 사용자 자금, 애플리케이션 및 인프라가 영향을 받지 않았다고 확인했으며, 예방 조치로 웹 애플리케이션을 자발적으로 비활성화했습니다. Zerion은 또한 공격자가 일부 팀원들이 로그인한 세션과 자격 증명, 그리고 회사 핫 월렛의 개인 키를 획득했다고 밝혔으며, AI가 네트워크 위협의 작동 방식을 변화시키고 있다고 지적했습니다.

암호화폐 산업에 대한 표절과 공격이 계속해서 심화됨에 따라, 보안 전문가들은 다른 국가 배경의 해커들과의 핵심 차이점이 있다고 지적합니다: 암호 자산이 해당 국가의 군비 유지에 중요한 직접 자금 조달 원천이 되었다는 것입니다. 보도에 따르면, 최근 Drift Protocol에 대한 수개월 간의 침투 작전에서 북한 해커들이 다시 한번 산업에 충격을 주었습니다.전문가들은 이 모델이 단순한 "자금 이동 도구"가 아니라 직접적인 "약탈적 이익"이라고 말하며, 국제 제재를 우회하고 즉시 사용할 수 있는 경화 자금을 확보하는 데 사용된다고 설명합니다. 보안 연구자들은 러시아, 이란 등과는 달리 북한은 지속 가능한 대외 경제 및 상품 수출 능력이 거의 없기 때문에, 핵무기 및 탄도 미사일 프로그램을 지원하기 위해 암호화폐 도난에 더 의존하고 있다고 지적합니다.전문가들은 또한 북한 해커의 공격 목표가 단순한 피싱에서 거래소, 지갑 서비스 및 DeFi 프로토콜의 핵심 권한 보유자로 확대되었으며, 일반적으로 장기적인 사회 공학 및 신원 위장 침투 수단을 사용하고 있다고 강조합니다. 블록체인 거래의 "확인되면 되돌릴 수 없다"는 특성 때문에, 암호화폐 산업은 자금 동결 및 회수 측면에서 전통 금융 시스템보다 훨씬 취약하여 이러한 공격이 속도와 규모에서 더 큰 파괴력을 지니게 됩니다. 보안 전문가들은 이러한 "장기 잠복 + 정밀 권력 탈취" 공격 모델이 여전히 산업에서 효과적으로 해결되지 않았다고 경고합니다.

ZachXBT에 따르면, 한 익명의 소식통이 북한 내부 결제 서버에서 도난당한 데이터를 공유했으며, 이는 390개의 계좌, 채팅 기록 및 암호화폐 거래 정보를 포함하고 있습니다.관련 결제 지갑 주소는 2025년 11월 말부터 현재까지 총 350만 달러 이상을 수령했으며, 자금은 거래소를 통해 인출되거나 Payoneer와 같은 플랫폼을 통해 법정 화폐로 환전되어 중국 은행 계좌에 입금되었습니다.온체인 추적 결과, 내부 결제 주소가 알려진 북한 IT 근로자 집단과 연관되어 있으며, 그 중 하나의 Tron 결제 주소는 2025년 12월에 Tether에 의해 동결되었습니다. 사용자 목록에 있는 세 개의 관련 회사는 OFAC의 제재를 받았으며, Sobaeksu를 포함합니다. ZachXBT는 2025년 12월부터 2026년 2월까지의 데이터 범위를 포함한 전체 조직 구조도를 정리했습니다.

The Block에 따르면, Solana 생태계의 탈중앙화 거래소 Stabble이 긴급 공지를 발표하고 유동성 제공자에게 즉시 자금을 인출할 것을 촉구했습니다. 그 이유는 한 북한 국적 직원이 이전에 해당 프로젝트에서 근무했기 때문입니다. 이 경고는 체인 탐정 ZachXBT의 정보에 의해 촉발된 것으로 보이며, 그는 한 북한 개발자가 Solana DeFi 인프라 프로젝트 Elemental에서 수년간 근무했음을 밝혔습니다.미국 당국은 이전에 북한 기술자들이 가짜 신분으로 암호화 회사에 침투하고 있다고 경고했습니다. 주말 동안 Drift Protocol은 2억 8천만 달러의 공격 사건이 2024년 10월 Radiant Capital 공격과 동일한 북한 해커에 의해 수행되었을 가능성이 높다고 밝혔습니다. Stabble은 해당 북한 직원이 1년 전에 입사한 것으로 보이며, 새로운 팀이 4주 전에 프로젝트를 인수했다고 응답했습니다. 또한 현재까지 공격은 발생하지 않았으며, 경고는 예방 조치일 뿐이라고 강조했습니다. Stabble은 LP의 안전을 보장하기 위해 새로운 감사를 진행할 것이라고 밝혔습니다.

Drift Protocol은 X 플랫폼에서 2026년 4월 1일 공격 사건에 대한 초기 조사가 북한 정부 지원 해커 조직 UNC4736(다른 이름: AppleJeus 또는 Citrine Sleet)에 의해 계획되었다고 발표했습니다. 이 조직은 2025년 가을부터 중개인을 암호화 회의에 참여시키고, 가짜 양적 거래 회사를 설립하는 등의 방법으로 Drift 기여자와 6개월 동안 대면 상호작용을 하며 악성 코드 라이브러리나 애플리케이션을 다운로드하도록 유도했습니다. 현재 Drift는 모든 프로토콜 기능을 동결했으며, 손상된 지갑을 다중 서명에서 제외했습니다. Mandiant는 심층 포렌식 조사에 참여하도록 초대되었습니다. 조사 결과, 이 작전을 테스트하는 데 사용된 체인 상 자금 흐름은 2024년 10월의 Radiant Capital 공격자에게로 추적됩니다.

코인데스크(CoinDesk)의 보도에 따르면, 블록체인 분석 회사 엘립틱(Elliptic)은 드리프트 프로토콜(Drift Protocol)이 공격을 받아 2억 8500만 달러의 손실을 입었으며, "여러 신호"가 북한 지원의 DPRK 해커 조직을 가리킨다고 밝혔습니다. 엘립틱은 체인 상의 행동, 자금 세탁 기법 및 네트워크 수준 신호를 집중 분석했으며, 이는 이전의 국가 연관 공격과 일치합니다.엘립틱 보고서는 "확인된다면, 이는 엘립틱이 올해 추적한 18번째 DPRK 공격 사건이 될 것이며, 지금까지 총 3억 달러 이상이 도난당했다"고 지적했습니다. 기술적인 측면에서, 엘립틱은 이번 공격을 "계획적이고 정교하게 구성된" 것으로 설명하며, 주요 공격 이전에 초기 테스트 거래와 미리 배치된 지갑이 있었다고 밝혔습니다. 공격이 실행된 후, 자금은 신속하게 통합되어 크로스 체인 전송을 통해 더 유동성이 높은 자산으로 전환되었으며, 자금 출처를 혼동시키고 통제권을 유지하기 위한 조직적이고 반복 가능한 자금 세탁 프로세스가 형성되었습니다.이번 사건은 10종 이상의 자산 유형이 관련되어 있으며, 자금은 솔라나(Solana)에서 이더리움 및 기타 체인으로 크로스 체인 전송되었습니다. 이는 크로스 체인 추적 능력의 중요성을 더욱 부각시킵니다. 드리프트 프로토콜은 솔라나 블록체인에서 가장 큰 탈중앙화 영구 계약 거래 플랫폼으로, 해커 공격 이후 그 토큰은 40% 이상 하락하여 약 0.06 달러에 거래되고 있습니다.

Ledger 최고 기술 책임자 Charles Guillemet는 Drift Protocol의 이번 취약점 이용 공격 방식이 2025년 Bybit 해킹 사건과 유사하다고 밝혔으며, 후자는 북한과 관련된 해커와 널리 연관되어 있다고 알려져 있습니다.Guillemet는 이번 공격이 어떤 스마트 계약을 겨냥한 것이 아니라, 공격자가 다중 서명자의 장치에 장기간 침투하여 악의적인 거래를 승인하도록 유도했다고 지적했습니다. 서명자는 항상 자신이 합법적인 작업을 승인하고 있다고 생각했을 수 있습니다. 그는 문제의 근본 원인이 코드 자체가 아니라 인력과 운영 측면의 보안 결여에 있다고 강조했습니다.

The Block에 따르면, 암호화폐 전자상거래 및 기프트 카드 회사 Bitrefill이 네트워크 공격을 받았으며, 이는 북한 지원 해커 조직 Lazarus Group에 의해 수행된 것으로 의심되고 있다.공격은 한 직원의 노트북 컴퓨터가 해킹당하면서 시작되었고, 해커는 일부 핫 월렛 자금을 훔치고 공급업체에 의심스러운 구매를 진행했다. 공격자는 Bitrefill의 더 광범위한 인프라에도 침입하여 일부 데이터베이스와 특정 암호화폐 지갑을 포함시켰으며, 약 18,500개의 구매 기록이 접근되었고, 이메일, 암호화 결제 주소 및 IP 주소와 같은 제한된 고객 정보가 포함되었다. 이 중 약 1,000개의 기록의 암호화된 고객 이름이 노출 위험에 처해 있으며, 회사는 관련 개인에게 연락을 취했다. Bitrefill은 대부분의 구매에 대해 KYC를 강제하지 않으며, KYC와 관련된 데이터는 외부 KYC 제공업체에 의해 보관되고 있으며, 회사 시스템에는 백업이 없다. 조사 결과 공격자는 전체 데이터베이스를 추출하지 않았으며, 암호화폐 및 기프트 카드 재고와 같은 도난 가능한 대상을 탐색하기 위해 제한된 쿼리만 수행했다. 회사는 운영 자본에서 발생하는 모든 손실을 "자체 부담"하며, zeroShadow, SEAL911 등 보안 팀과 협력하여 대응하고 있다. 현재 결제, 재고 및 계좌 기능은 기본적으로 정상으로 복구되었으며, 매출도 회복되었다.

비트코인 결제 서비스 제공업체 Bitrefill이 X 플랫폼에 게시한 글에서 2026년 3월 1일 네트워크 공격으로 고객 데이터가 유출되었다고 밝혔습니다. 공격은 한 직원의 침해된 노트북에서 발생했으며, 일부 데이터베이스와 암호화폐 지갑이 공격자에게 접근당했습니다.조사 결과, 이번 공격 방식은 북한 DPRK Lazarus/Bluenoroff 해커 조직이 과거 암호화 기업을 대상으로 한 공격과 매우 유사하며, 약 18,500개의 구매 기록이 제한된 고객 정보(이메일, 암호화 결제 주소 및 IP 메타데이터)를 포함하고 있습니다. 이 중 약 1,000개의 기록의 고객 이름 정보는 암호화되어 저장되었지만 접근될 가능성이 있습니다. Bitrefill은 고객이 특별한 조치를 취할 필요는 없지만, 이상한 정보에 주의할 것을 권장합니다.Bitrefill은 현재 관련 시스템을 차단하여 격리했으며, 보안 전문가, 블록체인 분석가 및 법 집행 기관과 협력하고 있으며, 현재 거의 정상 운영을 회복했습니다. 회사는 사업이 장기적으로 수익성이 있으며 자금이 충분하여 이번 손실을 흡수할 수 있다고 강조하며, 내부 접근 통제, 모니터링 및 비상 대응 메커니즘을 포함한 사이버 보안 조치를 지속적으로 강화할 것이라고 밝혔습니다.

美国 재무부 외국 자산 통제 사무소(OFAC)는 북한이 주도한 IT 노동자 사기 계획에 참여한 혐의로 6명의 개인과 2개의 단체에 대해 제재를 시행한다고 발표했습니다. 이 계획에서 얻은 수익은 북한의 무기 프로젝트에 자금을 지원하는 데 사용되었습니다.제재 대상에는 북한 기업 Amnokgang Technology Development Company와 베트남 기업 Quangvietdnbg International Services Company Limited가 포함되며, 후자의 CEO인 Nguyen Quang Viet는 암호화폐를 통해 이 네트워크의 자금을 세탁한 혐의로 250만 달러를 송금한 것으로 지목되었습니다. Do Phi Khanh, Hoang Van Nguyen, Yun Song Guk, Hoang Minh Quang 및 York Louis Celestino Herrera도 이 네트워크에 참여한 혐의로 제재를 받았습니다. 이 사기 네트워크는 북한, 베트남, 라오스 및 스페인에서 운영되고 있습니다.제재 조치는 위의 개인 및 단체의 미국 내 모든 자산을 동결하고, 그들이 미국과 어떤 금융 거래나 상업적 관계를 맺는 것을 금지합니다. OFAC는 또한 이더리움과 Tron 네트워크의 21개 암호화폐 주소를 제재 목록에 추가할 것입니다. Chainalysis는 북한 IT 노동자 사기 계획이 도용된 신원 및 허위 신원 정보를 이용해 전 세계 기업에서 직위를 확보하고, 회사 네트워크에 악성 소프트웨어를 심어 민감한 정보를 탈취할 수 있다고 밝혔습니다.

안전 연구 기관 Ctrl-Alt-Intel이 발표한 바에 따르면, 북한과 관련된 것으로 의심되는 해커 그룹이 스테이킹 플랫폼, 거래소 소프트웨어 공급업체 및 암호화폐 거래소를 대상으로 공격을 감행했습니다.공격자는 React2Shell 취약점(CVE-2025-55182)과 이미 확보한 AWS 접근 자격 증명을 이용해 클라우드 환경에 침입하고, S3, EC2, RDS, EKS, ECR 등의 리소스를 열거하며, Secrets Manager, Terraform 파일, Kubernetes 구성 및 Docker 컨테이너에서 키와 자격 증명을 추출했습니다. 연구자들은 공격자가 5개의 Docker 이미지를 다운로드하고 소스 코드를 훔쳤으며, 그 중에는 ChainUp 고객 관련 소프트웨어 구성 요소가 포함되어 있다고 전했습니다.공격 인프라에는 한국 서버 64.176.226[.]36 및 도메인 itemnania[.]com이 포함되어 있습니다. 보고서에 따르면 이 활동은 북한 관련 공격 특성과 일치하지만, 귀속 신뢰도는 중간이며 AWS 자격 증명의 출처는 명확하지 않습니다.

GoPlus 한국 커뮤니티는 X 플랫폼에서 경고를 발표하며, 북한 해커가 npm 레지스트리에 26개의 악성 패키지를 배포했다고 전했습니다. 이 악성 패키지들은 모두 설치 스크립트("install.js")를 포함하고 있으며, 이 스크립트는 패키지 설치 과정에서 자동으로 실행되어 "vendor/scrypt-js/version.js"에 위치한 악성 코드를 실행합니다.악성 코드는 동일한 악성 URL을 통해 원격 접근 트로이 목마(RAT)를 다운로드하고 실행하여 키보드 기록, 클립보드 도용, 브라우저 자격 증명 수집, TruffleHog 비밀 스캔 Git 저장소 및 SSH 키 도용 등의 악성 행위를 수행합니다. 이번 사건은 "Famous Chollima"라는 이름의 북한 해커 활동과 관련이 있습니다.

链上 탐정 ZachXBT는 @sexinfochina 사용자에 대해 "이 사용자는 중국 다크웹 시장 'FreeCity' 운영자인 범죄자라는 사실을 고의로 숨겼으며, 텔레그램에서 특정 불법 서비스를 공개적으로 홍보하고, 북한 해커를 위해 5회의 자금 세탁 거래를 고의로 수행했다. 이 사용자는 2년 전 저에게 CEX 계정이 동결된 이유를 조사해 달라고 요청했으며, 그 결과 1억 달러가 넘는 북한 해커의 절도 사건으로 연결되는 것을 발견했다."고 밝혔다.또한, ZachXBT는 "이 다크웹 플랫폼의 사용자 대부분이 중국인이지만, 많은 불법 거래가 동남아시아 등 다른 지역에서도 발생하고 있다."고 응답했다.

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Cointelegraph 报道，隶属于 Google Cloud 的美国网络安全公司 Mandiant 发现朝鲜关联威胁组织正在加大针对加密货币和金融科技公司的社会工程攻击。该威胁组织（代号 UNC1069）部署了七个恶意软件集合，包括新发现的 SILENCELIFT、DEEPBREATH 和 CHROMEPUSH，旨在获取敏感数据并窃取数字资产。攻击者利用被入侵的 Telegram 账户和通过人工智能生成的深度伪造视频进行虚假 Zoom 会议诱骗。自 2018 年以来，Mandiant 一直追踪该组织，但人工智能的进步帮助该组织自 2025 年 11 月起扩大了恶意活动规模。在一起入侵事件中，攻击者使用被盗的加密货币创始人 Telegram 账户发起联系，通过所谓的 ClickFix 攻击诱导受害者执行含有隐藏命令的"故障排除"指令。

据 Decrypt 报道，谷歌旗下安全团队 Mandiant 近日发布报告警告称，与朝鲜相关的黑客组织正利用 AI 生成的深度伪造视频和虚假 Zoom 会议，对加密货币及金融科技公司发起更具针对性的网络攻击。보고서에 따르면, UNC1069(또는 CryptoCore)이라는 해커 조직이 최근 한 핀테크 회사를 해킹할 때, 해킹된 텔레그램 계정을 통해 가짜 줌 회의를 시작하고 회의 중에 유명 암호화폐 경영진의 딥페이크 비디오를 사용하여 신뢰를 얻으려 했습니다.공격자는 "오디오 오류"를 핑계로 피해자가 악성 명령을 실행하도록 유도하여 결국 시스템에 7개의 서로 다른 악성 소프트웨어 계열을 배포하여 자격 증명, 브라우저 데이터 및 세션 토큰을 탈취하는 것을 목표로 했습니다. 이 조직은 주로 암호화폐 산업의 기업 및 개인, 소프트웨어 회사, 벤처 캐피털 기관 및 그 직원들을 대상으로 하고 있습니다.

시장 소식에 따르면, 보안 회사 Recorded Future의 최신 연구에 따르면, 북한 관련 해커 조직 PurpleBravo가 허위 채용 면접을 통해 인공지능, 암호화폐 및 금융 서비스 회사의 3100개 이상의 IP 주소를 대상으로 사이버 스파이 활동을 벌이고 있습니다.이 조직은 채용 담당자나 개발자로 위장하여 기술 면접을 핑계로 목표를 유인해 악성 코드를 실행하게 합니다. 공격자는 암호화 또는 기술 회사에서 온 것이라고 주장하며, 구직자에게 코드를 검토하거나 저장소를 복제하거나 프로그래밍 작업을 완료할 것을 요구합니다. 보안 연구원들은 남아시아, 북미 등 지역에서 20개의 피해 기관을 확인했습니다. 이 조직은 여러 개의 별명을 사용하며, 허위의 우크라이나 오데사 신분으로 위장합니다. 공격에는 PylangGhost 및 GolangGhost와 같은 원격 접근 트로이 목마가 사용되어 브라우저 자격 증명 및 쿠키를 자동으로 탈취합니다.해커는 악성 GitHub 저장소, Astrill VPN 및 17개의 서비스 제공업체를 통해 악성 소프트웨어 서버를 호스팅합니다. 또한 조사 결과 관련 Telegram 채널에서 LinkedIn 및 Upwork 계정을 판매하고 있으며, 공격자는 암호화폐 거래 플랫폼 MEXC Exchange와도 상호작용한 것으로 나타났습니다.